WordPress WP Live Chat Support身份验证绕过漏洞安全通告
发布时间 2019-06-12漏洞编号和级别
CVE编号:CVE-2019-12498,危险级别:高危,CVSS分值:官方未评定
影响版本
受影响的版本
适用于WordPress WP Live Chat插件 < 8.0.32。
漏洞概述
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。WP Live Chat Support是使用在其中的一个即时聊天插件。
WordPress WP Live Chat Support插件8.0.32及以前版本中出现了严重的身份验证绕过漏洞,可被不具备有效凭证的黑客利用,访问原本被限制的RESTAPI端口。具体来说,暴露的REST API端点可能允许潜在的攻击者提取网站中所有聊天会话的完整记录,将文本注入正在进行的聊天会话,编辑注入的消息,并“随意结束正在进行的会话”,发起DoS攻击。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布新版本以修复漏洞,将插件更新到最新版本https://wordpress.org/plugins/wp-live-chat-support/。
参考链接
京公网安备11010802024551号